数据库审计概述
数据库审计是腾讯云自主研发的一款专业、高效、全面、实时监控数据库安全的审计产品,数据库审计能够实时记录腾讯云数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,针对数据库 SQL 注入、异常操作等数据库风险行为进行记录,为您的云数据库提供完善的安全诊断和管理功能,提高数据资产安全。
数据库审计可以帮助您应对以下风险:
审计风险:审计日志不完整导致安全事件难以追查定位。 达不到国家等级保护(三级)明确要求。 满足不了行业信息安全合规性文件要求。
管理风险:技术人员存在的误操作、违规操作、越权操作,损害业务系统安全运行。 第三方开发维护人员的误操作,恶意操作和篡改。 超级管理员权限过大,无法审计监控。
技术痛点:数据库系统 SQL 注入,恶意拉取库表信息。 突发大量数据库请求但不是慢日志导致无法快速定位。
审计优势
全面审计
全面记录对数据库的访问及 SQL 语句执行情况,最大程度满足用户审计需求,保障数据库安全。
高效审计
与旁路审计方式不同,腾讯云数据库通过数据库内核插件进行记录,记录更准确。
长期保存
支持用户按业务需要长期存储日志,满足合规监管要求。
架构特点
采用多点部署架构,确保服务可用性。日志流式记录,防止篡改。多副本存储,保障数据可靠性。
规则审计详解
审计规则方式
全审计:即全量审计, 全量审计数据库的访问语句及执行情况。
规则审计:支持对 MongoDB 数据库的 SQL 类型、数据库名、集合名、客户端 IP、用户名等属性设置审计规则,根据审计规则审计数据库的部分执行语句。
规则审计运算
每个规则内部不同类型为追加限制条件关系,即与(&&)关系。
规则与规则之间为或(||)关系 。每个实例可以指定一个或多个审计规则,只要符合任意一个规则,就应该审计。如 A 规则指定只审计 user1 的执行时间 >= 1秒的操作,B 规则审计 user1 并且执行时间 < 1的语句,那么最终对 user1 所有语句都要审计。
对于数据库名的说明
如果是以下的表对象类型的语句:
SQLCOM_SELECT, SQLCOM_CREATE_TABLE, SQLCOM_CREATE_INDEX, SQLCOM_ALTER_TABLE,SQLCOM_UPDATE, SQLCOM_INSERT, SQLCOM_INSERT_SELECT, SQLCOM_DELETE, SQLCOM_TRUNCATE, SQLCOM_DROP_TABLE
对这一类型动作,数据库名以语句中实际操作的数据库名为准。例如,当前是 use db3 库,语句为:
select *from db1.test,db2.test;
那么会以 db1 和 db2 作为目标库进行规则判断,如果规则配置要审计 db1 的库则会进行审计,规则配置要审计 db3 的库则不会进行审计。 如果不是上面的表对象类型语句,以当前 use 的库作为目标库进行判断。如当前库为 use db1,执行语句为show databases,那么以当前库 db1 作为目标库进行规则判断,若规则配置审计 db1 则会进行审计。
版本说明
当前云数据库 MongoDB 4.0、4.2、4.4、5.0、6.0、7.0版本支持对实例进行审计。
计费说明
数据库审计按照审计日志存储量进行按量计费。每小时为一个计费周期,不足一小时的按一小时计费。
审计须知
云数据库(按量)开通审计后,当用户释放该云数据库时,该云数据库对应的审计服务也随之停止,日志自动删除,且不可找回。
云数据库(包月)开通审计后,当用户释放该云数据库或云数据库到期释放时,该云数据库对应的审计服务也随之停止,日志自动删除,且不可找回。